简介
Java Security Code
该项目也可以叫做Java Vulnerability Code(Java漏洞代码)。
每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里。具体可查看每个漏洞代码和注释。
该项目由当前最流行的框架springboot编写
环境搭建
这里为了方便调试,使用windows上的idea来搭建java security code
首先使用idea的git功能,clone源码到本地
网址:https://github.com/dr0op/java-sec-code
下载完源码后,idea会直接帮我们打开项目。如果maven没有自动下载插件,在右侧点击reload就可
如果出现基本对象,如string等包装类出现飘红情况,可以检查检查是否配置了jdk。
这里配置tomcat即可运行,配置如下,这里使用的版本为tomcat8.5
命令执行漏洞分析
访问:http://localhost:8080/rce/exec?cmd=whoami 可以获得以下结果
进入到controller下的Rce类查看代码,代码如下
@Controller
@RequestMapping("/rce")
public class Rce {
@RequestMapping("/exec")